Mittlerweile ist das Konzept „DevSecOps“ praktisch jedem vertraut, der in der modernen Softwareentwicklung arbeitet. Es verspricht, die Anwendungssicherheit grundlegend zu stärken und Reibungen zwischen DevOps- und Sicherheitsteams abzubauen.
Bei einem DevSecOps-Modell wird die Sicherheit nach links verlagert und direkt in den DevOps-Entwicklungs- und Bereitstellungsprozess integriert. Insbesondere ist Sicherheit in jede Phase der CI/CD-Pipeline (Continuous Integration/Continuous Deployment) eingebettet, um Sicherheitslücken früher zu erkennen. Im Gegensatz zu herkömmlichen Sicherheitsmodellen stellt DevSecOps die Sicherheit in den Mittelpunkt der Entwicklung und hilft dabei, Probleme näher an ihrem Ursprungsort zu identifizieren, kostspielige (und zeitaufwändige) Überarbeitungen zu reduzieren und zu verhindern, dass Schwachstellen in die Produktion gelangen.
Doch trotz der Bemühungen, DevSecOps voranzutreiben, scheinen die Sicherheitsteams immer noch hinter der Entwicklung von DevOps zurückzubleiben. Laut dem DevSecOps Insights 2020- Bericht von snyk haben 48 % der Entwickler immer noch das Gefühl, dass die Sicherheit eine große Einschränkung für ihre Fähigkeit darstellt, Software schnell bereitzustellen.
Die meisten Unternehmen sind sich zwar darüber im Klaren, wie ihre Sicherheitslage aussehen muss, doch Absicht und Realität sind zwei sehr unterschiedliche Dinge. Laut dem „The State of DevSecOps Report“ für 2020 von Contrast Security müssen mehr als 99 % der Organisationen zugeben, dass ihre durchschnittliche Anwendung in der Produktion mindestens 4 Schwachstellen aufweist, während fast 80 % mehr als 20 Schwachstellen in Anwendungen in der Entwicklung melden. Auch wenn 70 % der im Rahmen der Global DevSecOps Survey 2021 von GitLab befragten Sicherheitsteams angeben, dass sie die Sicherheit nach links verlagert haben und enger denn je mit Entwicklern zusammenarbeiten, ist klar, dass weiterhin erhebliche Sicherheitslücken bestehen.
Durch Gespräche mit NGINX-Kunden haben wir drei große Herausforderungen entdeckt, die die Einführung von DevOps-Praktiken durch Sicherheitsteams weiterhin verlangsamen oder blockieren:
Und natürlich überwinden die meisten Unternehmen diese Hindernisse nicht nur für eine Handvoll Apps – sie jonglieren mit Hunderten von Produkten und Diensten, die auf mehrere Teams verteilt sind, die ihre eigenen Technologie-Stacks, Toolchains und Prozesse betreiben. Für alle diese Prozesse sind Audits und Kontrollen erforderlich, um sicherzustellen, dass Schwachstellen keine Tür und Tor für Angriffe öffnen.
Was also können Sie tun, um Ihren Anwendungssicherheitsteams zu mehr Agilität zu verhelfen und es den Entwicklern gleichzeitig zu ermöglichen, weiterhin schnell, aber sicher zu arbeiten?
Die harte Wahrheit ist: Wenn Sie keine Möglichkeit finden, die oben diskutierten Herausforderungen zu bewältigen, können Sie Ihre Praktiken und Prozesse nicht weiterentwickeln. Schnellere Iterationen mögen wie der Gewinn erscheinen, den jeder braucht, aber die einzige Möglichkeit, DevOps weiterhin voll auszuschöpfen, besteht darin, die Sicherheit über den gesamten Softwareentwicklungszyklus hinweg so reibungslos und anpassungsfähig wie möglich zu gestalten.
Wir beobachten immer mehr, dass Unternehmen einen Ansatz verfolgen, den wir – dem Beispiel von Gartner folgend – „Platform Ops“ nennen. Das Kernkonzept besteht darin, DevOps-Funktionen über eine Plattform bereitzustellen, die auf die Anforderungen interner Teams im Unternehmen zugeschnitten ist. Die Verwendung interner Plattformen verringert nicht nur die Wahrscheinlichkeit, Zeit mit redundanten Aufgaben zu verschwenden, sondern trägt auch dazu bei, dass mehrere Produktteams kontinuierlich und effektiv zusammenarbeiten, ohne ausgebremst zu werden.
Im Rahmen eines Platform-Ops-Modells stellen Sicherheitsteams den Entwicklungsteams selbst nutzbare Richtlinien zur Verfügung. Darüber hinaus sind Sicherheitstools vollständig in den Anwendungsbereitstellungsprozess integriert. Auf diese Weise können Entwickler schneller bereitstellen und gleichzeitig die Best Practices, Governance- und Zugriffsanforderungen erfahrener Sicherheitsexperten einhalten.
Der große Gewinn für Anwendungssicherheitsteams besteht darin, dass Platform Ops eine Umgebung schafft, in der Entwickler Sicherheit nicht mehr als Hindernis erleben, das sie ausbremst, sondern als integrierten Bestandteil der Prozesse und Tools, die sie bereits verwenden. Dies motiviert die App-Bereitstellungsteams, Muster zu übernehmen, die eine bessere Sicherheit für das gesamte Unternehmen gewährleisten.
Bei NGINX sind wir uns bewusst, wie wichtig es ist, Tools wie eine Web Application Firewall (WAF) bereitzustellen, die sich problemlos nach links verschieben lässt, um überall in den Entwicklungsprozessen Sicherheit zu bieten und sich vollständig in CI/CD-Pipelines integrieren zu lassen. Außerdem ist es wichtig, über leichte Lösungen zu verfügen, die weder die CPU überlasten noch die Leistung beeinträchtigen.
Wir haben auch festgestellt, dass Entwicklungs- und DevOps-Teams viel zufriedener sind, wenn die Sicherheit ein Geländer und kein Tor ist . Wenn die Sicherheit starke, konsistente Kontrollen und Richtlinien auf einer gemeinsam genutzten Self-Service-Plattform bietet, wird es für Entwicklungs- und Sicherheitsteams einfacher, sich mit minimaler Interaktion und Unterbrechungen auf Richtlinien zu einigen.
Und so ermöglicht die NGINX-Anwendungsplattform genau das:
NGINX App Protect WAF ist eine leichte, moderne WAF, die Sie überall dort einsetzen können, wo Sie Apps erstellen und verwalten. App Protect WAF basiert auf der marktführenden WAF-Technologie von F5 und schützt vor den OWASP Top 10 und anderen fortgeschrittenen Bedrohungen unabhängig von Architektur oder Bereitstellungsumgebung – ob Cloud, Hybrid, Microservices-basiert, containerisiert oder vor Ort. App Protect WAF wird als dynamisches Modul für NGINX Plus bereitgestellt und ermöglicht Ihnen die Automatisierung von Sicherheitskonfigurationen und -richtlinien, sodass diese direkt in Ihrer CI/CD-Pipeline bereitgestellt werden können.
NGINX App Protect DoS bietet automatisierten, adaptiven Schutz zum Erkennen und Verhindern von Denial-of-Service-Angriffen (DoS) . App Protect DoS wird von den Sicherheitsexperten von F5 unterstützt und nutzt adaptives maschinelles Lernen und integrierte Anomalieerkennung, um Ihre Anwendungen und Mikrodienste vor Angriffen auf Anwendungsebene zu schützen. Egal, ob Sie einen gezielten Angriff stoppen oder einfach verhindern müssen, dass eine unbeabsichtigte Fehlkonfiguration die Leistung einer App beeinträchtigt, App Protect DoS bietet Zero-Touch-Schutz, der sich nahtlos in moderne Anwendungsarchitekturen, Entwicklungstools und Frameworks integrieren lässt.
Mit dem Add-on NGINX Controller App Security<.htmla> für das Controller Application Delivery Module können Sie die Entwicklerproduktivität steigern, ohne den Betrieb und die Sicherheitskonformität zu beeinträchtigen. Controller App Security bietet vertrauenswürdigen App-Schutz und zentrale Bedrohungstransparenz auf App-Ebene, die für alle HTTP-basierten Apps und APIs in Multi-Cloud-Umgebungen standardisiert werden kann. Darüber hinaus können Sicherheitsteams vorab genehmigte Richtlinien bereitstellen, die Entwickler und DevOps-Teams im Self-Service-Verfahren nutzen können, um ihren Apps problemlos App-Schutz hinzuzufügen.
Erweiterte Sicherheit für das NGINX Controller API Management Module ermöglicht verteilte API-Sicherheit für moderne Anwendungen:
Starten Sie kostenlose 30-Tage-Testversionen von NGINX Plus mit NGINX App Protect und NGINX Controller , sehen Sie sich unsere Angebote in der Cloud an ( AWS , Google Cloud Platform , Microsoft Azure ) und melden Sie sich für den von einem Lehrer geleiteten Kurs „ Einführung in NGINX App Protect“ an.
„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."